概述
Linux/Unix是一个用户、多任务的操作系统;在讲Linux帐号及帐户组管理之前,先简单了解一下多用户、多任务操作系统的基本概念。
linux系统用户和权限相关示意图
Linux的单用户多任务
在Linux下,当你登陆后,你也可以同时开启好多的服务任务和进程,而各自服务就会跑的挺好却对其他任务没有任何影响,这些登陆一个用户登入系统执行多个服务任务和进程的情况,就称为单用户多任务。
Linux的多用户多任务
有时可能是好多用户同时用同一个系统,如公司几十个运维人员,每台机器都可以和被若干个运维人员登陆布署或解决相关故障问题,但并不是所有的运维人员都要做同一件事,所以就有了多任务、多用户的情况。
值得注意的是:多用户、多任务并不是你们同时挤到一起,在一台机器的按键和显示器前来操作机器,多用户可能是通过SSH顾客端工具等远程工具等远程登陆服务器来进行,例如对服务器的运势控制,只要具有相关用户的权限,任何人都是可以起来操作访问服务器。
/etc/passwd和/etc/shadow
这两个文件可以说是linux系统中最重要的文件之一。若果没有这两个文件或则这两个文件出问题,则你是难以正常登陆linux系统的。
1、/etc/passwd文件
# cat /etc/passwd | head
PS:”head”前面的“|”是管线符,它的作用是把上面的命令的输出再输入给前面的命令。
‘/etc/passwd’由‘:’分割成7个数组,每位数组的具体含意是:
1)用户名(如第一行中的root就是用户名),代表用户帐号的字符串。用户名字符可以是大小写字母、数字、减号(不能出现在首位)、点以及顿号,其他字符不合法。即使用户名中可以出现点,但不建议使用,尤其是首位为点时,另外加号也不建议使用,由于容易引起混淆。
2)储存的就是该帐号的口令linux查看登录用户,为何是‘x’呢?初期的unix系统口令确实是储存在这儿,但基于安全诱因,后来就将其储存到‘/etc/shadow’中了,在这儿只用一个‘x’代替。
3)这个数字代表用户标示号,也称作uid。系统辨识用户身分就是通过这个数字来的,0就是root,也就是说你可以更改test用户的uid为0,这么系统会觉得root和test为同一个帐户。一般uid的取值范围是0~65535(但实际上早已可以支持到4294967294),0是超级用户(root)的标示号,1~499由系统保留,作为管理帐号,普通用户的标示号从500开始,假如我们自定义构建一个普通用户,你会看见该帐户的标示号是小于或等于500的。
4)表示组标示号,也称作gid。这个数组对应着/etc/group中的一条记录,虽然/etc/group和/etc/passwd基本上类似。
5)注释说明,该数组没有实际意义,一般记录该用户的一些属性,比如姓名、电话、地址等等。不过,当你使用finger的功能时才会显示这种信息的(稍后做介绍)。
6)用户的家目录,当用户登入时就处在这个目录下。root的家目录是/root,普通用户的家目录则为/home/username,这个数组是可以自定义的,例如你构建一个普通用户test1,要想让test1的家目录在/data目录下,只要更改/etc/passwd文件中test1那行中的该数组为/data即可。
7)shelllinux设置环境变量,用户登入后要启动一个进程,拿来将用户下达的指令传给内核,这就是shell。Linux的shell有好多种sh,csh,ksh,tcsh,bash等,而Redhat/CentOS的shell就是bash。查看/etc/passwd文件,该数组中不仅/bin/bash外还有/sbin/nologin比较多,它表示不容许该帐号登入。假如你想构建一个帐号不让他登陆,这么就可以把该数组改成/sbin/nologin,默认是/bin/bash.
2、/etc/shadow文件
这个文件,和/etc/passwd类似,用‘:’分割成9个主键。
#cat /etc/shadow |head -n 3
每位数组的涵义是:
1)用户名,跟/etc/passwd对应。
2)用户密码,这个才是该帐号的真正的密码,不过这个密码早已加密过了,而且有些黑客还是才能揭秘的。所以,该文件属性设置为000,而且root帐户是可以访问或修改的。
[root@localhost ~]# ls -l /etc/shadow
---------- 1 root root 719 5月 10 09:02 /etc/shadow
3)先前修改密码的日期,这个数字是这样估算得来的,距离1970年1月1日到先前修改密码的日期,比如先前修改密码的日期为2012年1月1日,则这个值就是‘365x(2012-1970)+(2012-1970)/4+1=15341’.由于假如是闰月,则有366天。
4)要过多少天才可以修改密码,默认是0,即不限制。
5)密码多少天后到期。即在多少天内必须修改密码,比如这儿设置成30,则30天内必须修改一次密码,否则将不能登入系统,默认是99999,可以理解为永远不须要改。
6)密码到期前的警告时限linux查看登录用户,若这个值设置成7,则表示当7天后密码过期时,系统就发出警告告诉用户,提醒用户他的密码将在7天后到期。
7)帐号失效时限。你可以这样理解,假如设置这个值为3,则表示:密码已然到期,但是用户并没有在到期前更改密码linux系统命令,这么再过3天,则这个帐号就失效了,即锁定了。
8)帐号的生命周期,跟第三段一样,是按距离1970年1月1日多少天算的。它表示的涵义是,帐号在这个日期前可以使用,到期后帐号作废。
9)作为保留用的,没有哪些意义。
新增/删掉用户和用户组
1、新增一个组
命令:groupadd
句型:groupadd[-gGID]groupname
[root@localhost ~]# groupadd grptest1
[root@localhost ~]# tail -n1 /etc/group
grptest1:x:502:
不加“-g”选项则根据系统默认的gid创建组,跟用户一样,gid也是从500开始的。
[root@localhost ~]# groupadd -g 511 grptest2
[root@localhost ~]# tail -n2 /etc/group
grptest1:x:502:
grptest2:x:511:
“-g”选项可以自定义gid.
2、删除组
命令:groupdel
[root@localhost ~]# groupdel grptest2
[root@localhost ~]# tail -n3 /etc/group
testgroup:x:500:
user1:x:501:
grptest1:x:502:
该命令没有特殊选项,但有一种情况不能删掉组:
[root@localhost ~]# groupdel user1
groupdel: cannot remove the primary group of user 'user1'
这是由于user1组中包含user1帐户,只有删掉user1帐户后才可以删掉该组。
3、增加帐户
命令:useradd
句型:useradd[-uUID][-gGID][-dHOME][-M][-s]
‘-u’ 自定义UID
‘-g’ 使其属于已经存在的某个组,后面可以跟组id, 也可以跟组名
‘-d’ 自定义用户的家目录
‘-M’ 不建立家目录
‘-s’ 自定义shell
[root@localhost ~]# useradd test10
[root@localhost ~]# tail -n1 /etc/passwd
test10:x:500:503::/home/test10:/bin/bash
[root@localhost ~]# tail -n1 /etc/group
test10:x:503:
‘useradd’不加任何选项直接跟用户名,则会创建一个跟用户名同样名子的组。
[root@localhost ~]# useradd -u510 -g 513 -M -s /sbin/nologin user11
useradd: group '513' does not exist
[root@localhost ~]# useradd -u510 -g 502 -M -s /sbin/nologin user11
[root@localhost ~]# useradd -u511 -g grptest1 user12
[root@localhost ~]# tail -n2 /etc/passwd
user11:x:510:502::/home/user11:/sbin/nologin
user12:x:511:502::/home/user12:/bin/bash
[root@localhost ~]# tail -n2 /etc/group
grptest1:x:502:
test10:x:503:
‘-g’选项旁边跟一个不存在的gid会报错,提示该组不存在。刚才里面说过‘-M’选项加上后则不完善用户家目录,并且在/etc/passwd文件中依然有这个数组。并且你使用ls/home/user11查看一下会提示该目录不存在。所以‘-M’选项的作用只是不创建哪个目录。
[root@localhost ~]# ls /home/user11
ls: 无法访问/home/user11: 没有那个文件或目录
4、删除帐户
命令:userdel
句型:userdel[-r]username
[root@localhost ~]# ls -ld /home/user12
drwx------ 3 user12 grptest1 4096 5月 11 07:12 /home/user12
[root@localhost ~]# userdel user12
[root@localhost ~]# ls -ld /home/user12
drwx------ 3 511 grptest1 4096 5月 11 07:12 /home/user12
[root@localhost ~]# ls -ld /home/test10/
drwx------ 3 test10 test10 4096 5月 11 07:09 /home/test10/
[root@localhost ~]# userdel -r test10
[root@localhost ~]# ls -ld /home/test10/
ls: 无法访问/home/test10/: 没有那个文件或目录
‘-r’选项的作用只有一个,就是删掉帐户的时侯连带帐户的家目录一起删掉。
5、创建/更改一个用户的密码
命令:passwd
句型:passwd[username]
等创建完帐户后,默认是没有设置密码的,即使没有密码,但该帐户同样登陆不了系统。只有设置好密码后方可登入系统。为用户创建密码时,为了安全起见,请尽量设置复杂一些。你可以根据这样的规则来设置密码:
宽度小于10个字符;
密码中包含大小写字母数字以及特殊字符‘*’,‘&’,‘%’等;
不规则性(不要出现root,happy,love,linux,7758520,111111等等词组或则数字);
不要带有自己名子、公司名子、自己电话、自己生日等。
[root@localhost ~]# passwd
更改用户 root 的密码 。
新的 密码:
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
“passwd”后面不加username则是更改当前帐户的密码。假如你登录的是root帐户,前面可以跟普通帐户的名子,意思是更改指定帐户的密码。
[root@localhost ~]# passwd user11
更改用户 user11 的密码 。
新的 密码:
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。
只有root才可以修该其他帐户的密码,普通帐户只能更改自己的密码,其他帐户的密码是不可以更改的。
